Нормативно – правовое обеспечение информационной безопасности

Конспект лекции № 8

Законодательные меры по защите процессов переработки ин­формации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц — пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.

Цель законодательных мер — предупреждение и сдерживание потенциальных нарушителей.

Поскольку ИБ должна быть связующим звеном между политикой национальной безопасности и информационной политики страны, то логично было бы проводить их по единым принципам, выделяя как общие положения и принадлежности для информационной политики.

В Доктрине информационной безопасности Российской Федерации раскрыто содержание следующих принципов, закрепленных в Федеральном законе «Об информации, информатизации и защите информации» от 25.01.95 № 24-ФЗ:

законность (соблюдение Конституции РФ, законодательства Российской Федерации и норм международного права при осуществлении деятельности по обеспечению национальной безопасности);

соблюдение баланса жизненно важных интересов личности общества и государства (единство, взаимосвязь и сбалансированность всех видов безопасности, гибкое изменение их приоритетности в зависимости от ситуации);

недопустимость ограничения прав и свобод граждан, за исклю­чением случаев, прямо предусмотренных законом (уважение прав и свобод человека);

взаимная ответственность личности, общества и государства по обеспечению безопасности; интеграция с международными системами безопасности;

приоритет политических и экономических мер обеспечения национальной безопасности с опорой на военный потенциал Рос­сии; сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федера­тивным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федера­ции и органам местного самоуправления.

Государственная информационная политика (ГИП) должна опираться на следующие базовые принципы:

открытость политики (все основные мероприятия информаци­онной политики открыто обсуждаются обществом, государство учитывает общественное мнение);

равенство интересов участников (политика в равной степени учитывает интересы всех участников информационной деятель­ности независимо от их положения в обществе, формы собствен­ности и государственной принадлежности);

системность (реализация процессов обеспечения ИБ через го­сударственную систему);

приоритет отечественного производителя (при равных услови­ях приоритет отдается конкурентоспособному отечественному производителю информационно-коммуникационных средств, про­дуктов и услуг);

социальная ориентация (основные мероприятия ГИП должны быть направлены на обеспечение социальных интересов граждан России);

государственная поддержка (мероприятия информационной политики, направленные на информационное развитие социаль­ной сферы финансируются преимущественно государством);

приоритет права — законность (развитие и применение правовых и экономических методов имеет приоритет перед любыми формами административных решений проблем информационной сферы);

сочетание централизованного управления силами и средства­ми обеспечения безопасности с передачей в соответствии с феде­ральным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федера­ции и органам местного самоуправления;

интеграция с международными системами обеспечения ИБ.

К основным задачам в сфере обеспечения ИБ РФ относятся:

формирование и реализация единой государственной полити­ки по обеспечению защиты национальных интересов от угроз в информационной сфере, реализации конституционных прав и свобод граждан на информационную деятельность;

совершенствование законодательства Российской Федерации в сфере обеспечения ИБ;

определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации и органов местного самоуправления в сфере обеспечения ИБ;

координация деятельности органов государственной власти по обеспечению ИБ;

создание условий для успешного развития негосударственной компонента в сфере обеспечения ИБ, осуществления эффектив­ного гражданского контроля за деятельностью органов государ­ственной власти;

совершенствование и защита отечественной информационно инфраструктуры, ускорение развития новых информационных тех­нологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учета вхождения России в глобальную информационную инфраструктуру

развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем;

развитие отечественной индустрии телекоммуникационных информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на при приятиях оборонного комплекса;

духовное возрождение России; обеспечение сохранности и защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);

сохранение традиционных духовных ценностей при важнейшей роли Русской православной церкви и церквей других конфессий;

пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных и исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;

повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств — членов СНГ;

создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;

противодействие угрозе развязывания противоборства в информационной сфере;

организация международного сотрудничества по обеспечению ИБ при интеграции России в мировое информационное пространство.

Для реализации указанных задач государственной системой обеспечения информационной безопасности должны осуществ­ляться следующие функции:

оценка состояния ИБ в стране, определение приоритетов по интересам в информационной сфере и установление их баланса в конкретных условиях;

выявление и учет источников внутренних и внешних угроз, проведение их мониторинга и классификации;

определение основных направлений предотвращения угроз или минимизации ущерба от их реализации;

организация исследований в сфере обеспечения ИБ;

разработка и принятие законов и иных нормативно-правовых актов;

разработка федеральных целевых и ведомственных программ обеспечения ИБ, координация работ по их реализации;

организация единой системы лицензирования, сертификации, экспертизы и контроля в этой сфере;

страхование информационных рисков;

подготовка специалистов по обеспечению ИБ, в том числе из числа работников правоохранительных и судебных органов;

информирование общественности о реальной ситуации в сфере обеспечения ИБ и работе государственных органов в этой сфере;

изучение практики обеспечения ИБ, обобщение и пропаганда передового опыта такой работы в регионах;

правовая защита прав и интересов граждан, интересов обще­ства и государства в сфере ИБ;

организация обучения способам и методам самозащиты физи­ческих лиц от основных угроз в информационной сфере;

содействие разработке и принятию норм международного пра­ва в сфере обеспечения ИБ;

установление стандартов и нормативов в сфере обеспечения ИБ.

От эффективности выполнения последней функции напрямую зависят сроки и возможности организации системы обеспечения ИБ РФ, поэтому рассмотрим ее содержание подробнее. В Россий­ской Федерации действуют девять государственных стандартов по защите информации: ГОСТ 28147 — 89, ГОСТ Р 34.10 — 94, ГОСТР 34.11-94, ГОСТ 29.339-92, ГОСТ Р 50752-95, ГОСТ РВ 50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922 — 96. Они относятся к различным группам по классификато­ру стандартов и, к сожалению, не являются функционально пол­ными ни по одному из направлений защиты процессов перера­ботки информации. Кроме того, есть семейства родственных стан­дартов, имеющих отношение к области защиты процессов пере­работки информации:

системы тревожной сигнализации, комплектуемые извещателями различного принципа действия, — 12 государственных стандартов;

информационные технологии (сертификация систем телеком­муникации, программных и аппаратных средств, аттестационное i тестирование взаимосвязи открытых систем, аттестация баз дан­ных и т.д.) — около 200 государственных стандартов;

системы качества (в том числе стандарты серии 9000, введен­ные в действие на территории Российской Федерации) — больше 100 государственных стандартов.

Одним из отечественных аналогов перечисленных стандартов является руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем I и требований по защите информации».

Комплексный характер защиты процессов переработки инфор­мации достигается за счет использования унифицированного ал­горитмического обеспечения для средств криптографической за­щиты в соответствии с российскими государственными стандар­тами:

ГОСТ 28147 — 89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразова­ния»;

ГОСТ Р 34.10 — 94 «Информационная технология. Криптогра­фическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного крип­тографического алгоритма»;

ГОСТ Р 34.11 — 94 «Информационная технология. Криптогра­фическая защита информации. Функция кэширования»;

ГОСТ Р 50739 — 95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие техни­ческие требования».

В вопросе о криптографии необходимо установить, кто и как должен защитить информацию. В России ФАПСИ претендует на защиту всей, в том числе открытой, информации. Объективно государственные организации могут ограничиться защитой толь­ко своей информации (прежде всего, государственной и служеб­ной тайн), и будет хорошо, если им хватит на это средств и сил. Все остальные требования по защите информации надо подчи­нить единым понятным правилам и исполнимым запретам. Это должны быть законы, следуя которым субъект сможет защищать свою информацию сам доступными ему средствами. Введение еди­нообразного подхода к использованию средств криптозащиты ос­тавляет монополисту явную возможность для использования дуб­ликатов ключей и не гарантирует, что это будет сделано в интере­сах государства, а не конкретных лиц. Хотя в ряде стран (напри­мер, Великобритания, Франция) существует государственная